Digitale Souveränität
Experten warnen, dass sich die öffentliche Verwaltung der EU-Mitgliedsstaaten in die Abhängigkeit großer Konzerne begibt. Das gefährde Sicherheit und Innovation. Martin Schallbruch, Direktor des Digital Society Institute in Berlin, zählt seit Jahren zu einer der mahnenden Stimmen. Eine seiner früheren Aufgaben war die Leitung des Bundesamts für Sicherheit in der Informationstechnik (BSI), wo er stets abzuwägen hatte zwischen den Kosten von Software für die Verwaltungsbehörden Deutschlands, deren Nutzen und deren Sicherheit.
Herr Schallbruch, was hat sich hinsichtlich der Verwendung von Software bei den Verwaltungsbehörden geändert, seit sie nicht mehr IT-Leiter der Regierung sind?
Ich glaube die Abhängigkeit von Produkten im Office-Bereich, also für Aufgaben wie E-Mail, Aufgaben, Kalender, ist eher gewachsen. Das liegt daran, dass die Konsolidierung der Informationstechnik, d.h. das Zusammenführung von IT unterschiedlicher Behörden an einer Stelle bei einem Dienstleister, der viele Behörden versorgt, eine Strategie begünstigt, nur noch auf einen Hersteller zu setzen, um große Skalierung zu erreichen, Mengenrabatte zu erhalten und auch die betriebliche Vereinfachung zu erreichen. Insofern nimmt die Abhängigkeit Jahr für Jahr zu.
ESMT
Martin Schallbruch
Wie wichtig fänden sie den Zugang zum Quellcode von Software, die bei Verwaltungsbehörden eingesetzt wird?
Ich finde es wichtig, dass es Open-Source-Software gibt - also Software, die anhand des Quellcodes überprüft werden kann. Software, die von einer Community weiterentwickelt wird. Das hat viele Vorteile. Man kann teilweise schneller auf Entwicklung reagieren. Man kann Zweifel über die Sicherheit eher bestätigen oder ausräumen. Ich glaube es ist wichtig ist, dass es beides gibt – Open-Source-Software und Software von Herstellern, die proprietär ist.
In Brüssel hat Microsoft ein sogenanntes „Transparenz-Zentrum“ eingerichtet, wo Regierungsvertretern Einsicht in Teile des Quellcodes von Software gewährt wird. Was halten sie davon?
Das ist ein schönes Signal - aber im Ergebnis nicht sehr tauglich, nicht sehr praktikabel. Ein Softwarepaket wie ein Betriebssystem oder ein Office-Paket besteht aus vielen Millionen Zeilen Programmcode. Diese Zeilen kann man als Sicherheitsforscher gar nicht vollständig analysieren. Man kann sich nur einzelne Teile anschauen. Man braucht Werkzeuge - selber entwickelte, eigene Software, mit der man Teile überpfüfen kann. Man muss sie in Maschinensprache übersetzen und lauffähig machen, man muss sie auf eigenen Geräten ausführen usw. All das ist beschränkt, weil man aufgrund des Schutzes von Betriebsgeheimnissen keine Informationen mitnehmen darf und den Code nicht mit anderen Sicherheitsforschern teilen kann. Wenn sie sich aber anschauen, wie heutzutage Sicherheitsprobleme und Schwachstellen entdeckt werden: Es ist oft das Ping Pong zwischen verschiedenen Sicherheitsforschern im Netz, die die Informationen austauschen und diskutieren, was das Sicherheitsproblem ist.
Ein „Transparenzzentrum“ ersetzt nicht die gemeinsame Arbeit auf GitHub.
So ist es.
Als im Jahr 2009 bei einer Wahl der Österreichischen Hochschülerschaft das E-Voting sehr umstritten war, gewährte die österreichische Regierung den Studierenden einige Stunden Einblick in die Software. Viele Menschen waren damals der Meinung, dass das nicht ausreichte.
Sicherlich zu recht. Weil in wenigen Stunden die Komplexität einer solchen Software nicht zu durchschauen ist.
Der grüne Europaparlaments-Abgeordnete Jan Philipp Albrecht hat vor kurzem gesagt: Die US-Behörden können Microsoft jederzeit zwingen, Zugang zu Daten ausändischer Verwaltungen und Bürger zu gewähren. Was denken sie darüber?
Das ist so. Microsoft hat versucht, sich dagegen zu wehren, das ist aber nicht gelungen. Die US-Behörden haben rechtlich diese Möglichkeit. Wenn eine europäische Verwaltung Cloud-Dienste von Microsoft nutzt, dann haben die US-Behörden die Möglichkeit darauf zuzugreifen – es sei denn sie nutzen das Angebot, die Daten bei einem deutschen Dienstleister zu speichern. Das kostet aber extra. Im Normalfall ist das nicht so und die amerikanischen Behörden können auf die Daten zugreifen.
Und in den letzten Wochen hat US-Präsident Trump den Datenschutz gegenüber Nicht-US-Bürgern aufgeweicht.
Ja, in der Tat. Das erst vor kurzem neu verhandelte Abkommen „EU Privacy Shield“ ist durch die Aussagen des amerikanischen Präsidenten und ein Dekret, das er unterzeichnet hat, in Frage gestellt. Ob sicherer Datentransfer in die USA überhaupt noch geht ist in Frage gestellt. Die Europäische Kommission muss sich jetzt wieder mit dieser Frage beschäftigen, ob die USA ein „sicherer Hafen“ für Daten sein können. Deshalb ist es umso wichtiger, dass man als öffentliche Verwaltung darauf schaut, wo die Daten eines Cloud-Dienstes gespeichert werden.
In Frankreich hat die Polizei vor Jahren 75.000 PCs auf LibreOffice umgestellt. Um dieses „Vorzeigeprojekt, sagen IT-Forscher, werde derzeit eine Art „Glaubenskrieg“ geführt. Was denken sie darüber?
Solche Glaubenskriege um Open-Source-Software und proprietäre Software haben wir bereits mehrmals erlebt, etwa in München oder auch im Auswärtigen Amt, wo jeweils Open-Source-Projekte durchgeführt wurden. Das ist normalerweise begleitet von einer großen Lobbyschlacht auf beiden Seiten. Ich halte es für sehr sinnvoll, wenn die französische Polizei so einen Versuch unternimmt, von der Abhängigkeit von einem Hersteller herauszukommen. Zu irgendeinem Zeitpunkt werden wir erkennen, dass die öffentliche Verwaltung über ihre eigene IT nur noch partiell selbst bestimmen kann. Dann wird man sich darüber ärgern, dass man nicht wenigstens Inseln geschaffen hat, in denen man diese Abhängigkeit nicht hat.
Eine solche Insel war - wie sie bereits erwähnt haben - bisher München. Dort hat die Stadtverwaltung sogar ein eigens entwickeltes Linux-Derivat namens LiMux verwendet, kehrt jetzt aber zu Windows zurück. Woran liegt das?
Das ist eine laufende politische Diskussion. Die Abhängigkeit der Verwaltung von einem System ist in einer nur kleinen Insel ganz schwer zu lösen. Denn erstens sind die Mitarbeiterinnen und Mitarbeiter etwas anderes gewöhnt und beschweren sich, wenn man plötzlich Open Office oder irgendetwas anderes einsetzt. Zweitens läuft die Kommunikation mit vielen anderen Behörden und Unternehmen mit Dokumentenformaten, die dann vielleicht nicht mehr ganz kompatibel sind. Drittens: Es ist nicht unbedingt wirtschaftlich, wenn man kleine Inseln umstellt. Das kann dann zuerst einmal teurer werden, weil man ja auf dem Markt um Dienstleistungen nachfragt, die nicht so günstig sind wie das, was alle anderen nachfragen. Für ein solches Projekt brauchen die Verantwortlichen also einen langen Atem. Ich glaube, in München hat dieser lange Atem keinen Bestand mehr gehabt, weil die politische Unterstützung durch die Mehrheit des Stadtrats nicht mehr gegeben ist. Dann kann die Verwaltung so etwas nicht mehr umsetzen.
Seit aus der Cypherpunk-Bewegung im Jahr 2009 das Open-Source-Projekt Bitcoin enstand, gibt es immer mehr verschlüsselte peer-to-peer-Netzwerke auf Basis von Bitcoins Blockchain-Technologie. Eines dieser Netzwerke ist Ethereum, eine Turing-vollständige Blockchain. Eine dzentrale, weltweite Virtual Machine. Damit kann man Online-Anwendungen schreiben, die niemand von außen stoppen oder zensieren kann. Denken sie, dass Verwaltungsbehöden Blockchain-Technologie einsetzen sollten?
Ich glaube, es ist zu empfehlen, dass sich Behörden mit solchen dezentralen peer-to-peer-Strukturen stärker beschäftigen – um die Widerstandsfähigkeit der IT-Strukturen zu erhöhen. Zum Beispiel wurde in den USA nach dem Hurrikan Katrina ein Projekt geschaffen, um bei einem Zusammenbruch der Telekommunikationsnetze und des Internets die lokale Kommunikation über p2p-Inseln schnell wieder aufbauen zu können. Damit sollten sich Verwaltungen stärker beschäftigen.
Ein TL;DR zum Schluss - worum geht kurz zusammengefasst bei der „digitalen Souveränität“?
Um die Handlungsfähigkeit des Staates und darum, ob die staatlichen Strukturen zukünftig noch selbst entscheiden können, wie sie arbeiten, oder ob sie von Monopolanbietern abhängig sind, sodass sie nicht mehr selbst entscheiden können und die demokratische Kontrolle nur noch schwer möglich ist. Die öffentliche Verwaltung in ganz Europa muss daran arbeiten, sich von Monopolanbietern loszulösen und eine stärkere Vielfalt einzurichten.
Publiziert am 05.05.2017
